使用 Intune,可以保护Intune) 中注册 (托管设备上的数据,并保护未在 Intune) 中注册 (非托管设备上的数据。 Intune可以将组织数据与个人数据隔离开来。 其思路是通过控制用户访问和共享信息的方式来保护公司信息。
对于组织拥有的设备,需要完全控制设备,尤其是安全性。 设备注册时,它们会收到你的安全规则和设置。
在 Intune 中注册的设备上,可以:
创建和部署用于配置安全设置、设置密码要求、部署证书等的策略。
使用移动威胁防御服务扫描设备、检测威胁和修正威胁。
查看衡量安全设置和规则合规性的数据和报告。
使用条件访问仅允许托管且合规的设备访问组织资源、应用和数据。
如果设备丢失或被盗,请删除组织数据。
对于个人设备,用户可能不希望其 IT 管理员拥有完全控制权。 若要支持混合工作环境,请为用户提供选项。 例如,如果用户需要拥有对组织资源的完全访问权限,则注册其设备。 或者,如果这些用户只想访问 Outlook 或 Microsoft Teams,则使用需要多重身份验证的应用保护策略 (MFA) 。
在使用应用程序管理的设备上,可以:
使用移动威胁防御服务通过扫描设备、检测威胁和评估风险来保护应用数据。
防止将组织数据复制和粘贴到个人应用中。
在第三方或合作伙伴 MDM 中注册的应用和非托管设备上使用应用保护策略。
使用条件访问来限制可以访问组织电子邮件和文件的应用。
删除应用内的组织数据。
Intune可帮助组织支持可从任意位置工作的员工。 可以配置一些功能,允许用户连接到组织,无论他们身在何处。
本部分包括可在Intune中配置的一些常见功能。
Windows Hello 企业版有助于防范网络钓鱼攻击和其他安全威胁。 它还可帮助用户更快、更轻松地登录到其设备和应用。
Windows Hello 企业版使用 PIN 或生物识别(如指纹、面部识别)替换密码。 此生物识别信息存储在本地设备上,永远不会发送到外部设备或服务器。
VPN 策略为用户提供对组织网络的安全远程访问。
使用常见的 VPN 连接合作伙伴(包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等),可以使用网络设置创建 VPN 策略。 策略准备就绪后,将此策略部署到需要远程连接到网络的用户和设备。
在 VPN 策略中,可以使用证书对 VPN 连接进行身份验证。 使用证书时,最终用户无需输入用户名和密码。
对于需要连接到本地组织网络的用户,可以使用网络设置创建Wi-Fi策略。 可以连接到特定的 SSID、选择身份验证方法、使用代理等。 还可以将策略配置为在设备处于范围内时自动连接到Wi-Fi。
在Wi-Fi策略中,可以使用证书对Wi-Fi连接进行身份验证。 使用证书时,最终用户无需输入用户名和密码。
策略准备就绪后,将此策略部署到需要连接到本地网络的本地用户和设备。
有关详细信息,请转到:
启用 SSO 后,用户可以使用其 Azure AD 组织帐户(包括某些移动威胁防御合作伙伴应用)自动登录到应用和服务。
具体来说:
在 Windows 设备上,SSO 是自动内置的,用于登录到使用 Azure AD 进行身份验证的应用和网站,包括 Microsoft 365 应用。 还可以在 VPN 和Wi-Fi策略上启用 SSO。
在 iOS/iPadOS 和 macOS 设备上,可以使用 Microsoft Enterprise SSO 插件自动登录到使用 Azure Active Directory (AD) 进行身份验证的应用和网站,包括 Microsoft 365 应用。
在 Android 设备上,可以使用 Microsoft 身份验证库 (MSAL) 启用对 Android 应用的 SSO。